本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 保護您的 AD Connector 目錄
您可以使用多重要素驗證 (MFA)、透過 Secure Sockets Layer (SSL)/Transport Layer Security (TLS) (LDAPS) 的用戶端輕量型目錄存取通訊協定,以及 等功能 AWS 私有憑證授權單位 來保護 AD Connector。保護 AD Connector 的方式包括:
+ 啟用可提高 AD Connector 安全性的 MFA。
+ 透過 Secure Socket Layer (SSL)/Transport Layer Security (TLS) (LDAPS) 啟用用戶端輕量型目錄存取通訊協定,以便透過 LDAP 進行通訊加密並改善安全性。
+ 使用智慧卡啟用憑證型交互 Transport Layer Security (mTLS) 身分驗證,允許使用者透過 Active Directory 和 AD Connector 向 Amazon Web Services 進行身分驗證。
+ 更新您的 AD Connector 服務帳戶登入資料。
+ 設定 AWS 私有 CA Connector for AD,以便您可以發行和管理 AD Connector 的憑證。
**Topics**
+ [啟用 AD Connector 的多重驗證](ad_connector_mfa.md)
+ [使用 AD Connector 啟用用戶端 LDAPS](ad_connector_ldap_client_side.md)
+ [在 AD Connector 中啟用 mTLS 身分驗證,以搭配智慧卡使用](ad_connector_clientauth.md)
+ [在 中更新您的 AD Connector 服務帳戶登入資料 AWS 管理主控台](ad_connector_update_creds.md)
+ [設定適用於 AD 的 AWS 私有 CA Connector](ad_connector_pca_connector.md)
# 啟用 AD Connector 的多重驗證
當您在內部部署或 Amazon EC2 執行個體中執行 Active Directory 時,您可以啟用 AD Connector 的多重驗證。如需搭配 使用多重要素驗證的詳細資訊 Directory Service,請參閱 [AD Connector 事前準備](ad_connector_getting_started.md#prereq_connector)。
**注意**
多重要素驗證不可用於 Simple AD。不過,您可以為 AWS Managed Microsoft AD 目錄啟用 MFA。如需詳細資訊,請參閱[啟用 AWS Managed Microsoft AD 的多重驗證](ms_ad_mfa.md)。
**為 AD Connector 啟用多重要素驗證**
1. 在 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)導覽窗格中,**選取目錄**。
1. 為您的 AD Connector 目錄選擇目錄 ID 連結。
1. 在 **Directory details (目錄詳細資訊)** 頁面上,選擇 **Networking & security (聯網和安全)** 索引標籤。
1. 在 **Multi-factor authentication (多重因素認證)** 區段中,選擇 **Actions (動作)**,然後選擇 **Enable (啟用)**。
1. 在 **Enable multi-factor authentication (MFA) (啟用多重因素認證 (MFA))** 頁面上,提供下列值:
**Display label (顯示標籤)**
提供標籤名稱。
**RADIUS server DNS name or IP addresses (RADIUS 伺服器 DNS 名稱或 IP 地址)**
您的 RADIUS 伺服器端點的 IP 地址,或您的 RADIUS 伺服器負載平衡器的 IP 地址。您可以輸入多個 IP 地址,中間以英文逗號分隔 (例如 `192.0.0.0,192.0.0.12`)。
RADIUS MFA 僅適用於驗證對 或 Amazon Enterprise 應用程式和服務的存取 AWS 管理主控台,例如 WorkSpaces、Amazon Quick 或 Amazon Chime。它不會將 MFA 提供給在 EC2 執行個體上執行的 Windows 工作負載,或用於登入 EC2 執行個體。 Directory Service 不支援 RADIUS 挑戰/回應身分驗證。
使用者在輸入使用者名稱與密碼時,必須有自己的 MFA 碼。或者,您必須使用頻外執行 MFA 的解決方案,例如使用者簡訊驗證。在頻外 MFA 解決方案中,務必為您的解決方案適當地設定 RADIUS 逾時值。使用頻外 MFA 解決方案時,登入頁面會提示使用者輸入 MFA 代碼。在此情況下,最佳實務是讓使用者在密碼欄位和 MFA 欄位中輸入其密碼。
**連接埠**
RADIUS 伺服器用於通訊的連接埠。您的內部部署網路必須允許透過預設 RADIUS 伺服器連接埠 (UDP:1812) 從 Directory Service 伺服器傳入流量。
**共用秘密代碼**
您的 RADIUS 端點建立時所指定的共用秘密代碼。
**確認共用秘密代碼**
確認您的 RADIUS 端點的共用秘密代碼。
**通訊協定**
選擇您的 RADIUS 端點建立時所指定的通訊協定。
**Server timeout (in seconds) (伺服器逾時 (以秒為單位))**
等待 RADIUS 伺服器回應的時間 (以秒為單位)。此值必須介於 1 到 50。
**Max RADIUS request retries (RADIUS 請求重試次數上限)**
嘗試與 RADIUS 伺服器進行通訊的次數。此值必須介於 0 到 10。
當 **RADIUS Status** (RADIUS 狀態) 變更為 **Enabled** (啟用) 時,即可使用 Multi-Factor Authentication。
1. 選擇**啟用**。
# 使用 AD Connector 啟用用戶端 LDAPS
AD Connector 中的用戶端 LDAPS 支援會加密 Microsoft Active Directory (AD) 和 AWS 應用程式之間的通訊。這類應用程式的範例包括 WorkSpaces AWS IAM Identity Center、Quick 和 Amazon Chime。此加密可協助您更完善地保護組織的身分資料,並滿足您的安全需求。
您也可以取消註冊和停用用戶端 LDAPS。
**Topics**
+ [先決條件](#prereqs-ldap-client-side)
+ [啟用用戶端 LDAPS](#enable-ldap-client-side)
+ [管理用戶端 LDAPS](manage-ldap-client-side.md)
## 先決條件
啟用用戶端 LDAPS 前,您必須符合以下要求。
**Topics**
+ [在 Active Directory 中部署伺服器憑證](#deploy_server_certs_ldap_client_side)
+ [CA 憑證要求](#cert_requirements_ldap_client_side)
+ [網路要求](#networking_requirements_ldap_client_side)
### 在 Active Directory 中部署伺服器憑證
若要啟用用戶端 LDAPS,您需要為 Active Directory 中的每個網域控制站取得並安裝伺服器憑證。LDAP 服務將使用這些憑證接聽並自動接受來自 LDAP 用戶端的 SSL 連線。您可以使用內部 Active Directory Certificate Services (ADCS) 部署發行或從商業發行者購買的 SSL 憑證。如需 Active Directory 伺服器憑證要求的詳細資訊,請參閱 Microsoft 網站上[透過 SSL 的 LDAP (LDAPS) 憑證](https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx)。
### CA 憑證要求
用戶端 LDAPS 操作須使用憑證授權機構 (CA) 的憑證 (代表您伺服器憑證的發行者)。憑證授權機構憑證會以 Active Directory 網域控制站出示的伺服器憑證進行比對,以加密 LDAP 通訊。請注意下列 CA 憑證要求:
+ 若要登錄憑證,憑證的過期日期必須在 90 天以上。
+ 憑證必須是隱私權增強式郵件 (PEM) 格式。如果從 Active Directory 內部匯出 CA 憑證,選擇 base64 編碼的 X.509 (.CER) 做為匯出檔案格式。
+ 每個 AD Connector 目錄最多可以儲存五 (5) 個憑證授權機構憑證。
+ 不支援使用 RSASSA-PSS 簽章演算法的憑證。
### 網路要求
AWS 應用程式 LDAP 流量只會在 TCP 連接埠 636 上執行,不會回復至 LDAP 連接埠 389。不過,支援複寫、信任等等的 Windows LDAP 通訊將繼續使用具備 Windows 原生安全性的 LDAP 連接埠 389。設定 AWS 安全群組和網路防火牆,以允許 AD Connector (傳出) 和自我管理 Active Directory (傳入) 中連接埠 636 上的 TCP 通訊。
## 啟用用戶端 LDAPS
若要啟用用戶端 LDAPS,您只需將憑證授權機構 (CA) 憑證匯入 AD Connector,然後在目錄上啟用 LDAPS。啟用時, AWS 應用程式與自我管理 Active Directory 之間的所有 LDAP 流量都會使用 Secure Sockets Layer (SSL) 頻道加密進行傳輸。
您可以使用兩種不同的方法,為您的目錄啟用用戶端 LDAPS。您可以使用 AWS 管理主控台 方法或 AWS CLI 方法。
### 在 中註冊憑證 Directory Service
使用下列其中一種方法來註冊憑證 Directory Service。
**方法 1:在 Directory Service (AWS 管理主控台) 中註冊您的憑證**
1. 在 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)導覽窗格中,**選取目錄**。
1. 選擇您目錄的目錄 ID 連結。
1. 在 **Directory details (目錄詳細資訊)** 頁面上,選擇 **Networking & security (聯網和安全)** 索引標籤。
1. 在 **Client-side LDAPS (用戶端 LDAPS)** 畫面中,選取 **Actions (動作)** 功能表,然後選取 **Register certificate (登錄憑證)**。
1. 在 **Register a CA certificate (登錄憑證授權機構憑證)** 對話方塊中,選取 **Browse (瀏覽)**,然後選取憑證並選擇 **Open (開啟)**。
1. 選擇 **Register certificate (登錄憑證)**。
**方法 2:在 Directory Service (AWS CLI) 中註冊您的憑證**
+ 執行下列命令。對於憑證資料,請指向您 CA 憑證檔案的位置。憑證 ID 會在回應中提供。
```
aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path
```
### 檢查註冊狀態
若要查看憑證登錄狀態或登錄的憑證清單,請使用以下任一方法。
**方法 1:檢查 Directory Service (AWS 管理主控台) 中的憑證註冊狀態**
1. 前往**目錄詳細資訊**頁面上的**用戶端 LDAPS** 區段。
1. 檢閱 **Registration status (登錄狀態)** 欄下方顯示的目前憑證登錄狀態。當登錄狀態值變更為 **Registered (已登錄)**,表示您的憑證已成功登錄。
**方法 2:檢查 Directory Service (AWS CLI) 中的憑證註冊狀態**
+ 執行下列命令。如果狀態值傳回 `Registered`,表示您的憑證已成功登錄。
```
aws ds list-certificates --directory-id your_directory_id
```
### 啟用用戶端 LDAPS
使用下列其中一種方法在 中啟用用戶端 LDAPS Directory Service。
**注意**
您必須先成功登錄至少一個憑證,才能啟用用戶端 LDAPS。
**方法 1:在 Directory Service (AWS 管理主控台) 中啟用用戶端 LDAPS**
1. 前往**目錄詳細資訊**頁面上的**用戶端 LDAPS** 區段。
1. 選擇**啟用**。如果無法使用此選項,請確認已成功登錄有效憑證,然後再試一次。
1. 在 **Enable client-side LDAPS (啟用用戶端 LDAPS)** 對話方塊中,選擇 **Enable (啟用)**。
**方法 2:在 Directory Service (AWS CLI) 中啟用用戶端 LDAPS**
+ 執行下列命令。
```
aws ds enable-ldaps --directory-id your_directory_id --type Client
```
### 檢查 LDAPS 狀態
使用下列其中一種方法來檢查 中的 LDAPS 狀態 Directory Service。
**方法 1:在 Directory Service (AWS 管理主控台) 中檢查 LDAPS 狀態**
1. 前往**目錄詳細資訊**頁面上的**用戶端 LDAPS** 區段。
1. 如果狀態值顯示為 **Enabled (已啟用)**,表示 LDAPS 已成功設定。
**方法 2:在 Directory Service (AWS CLI) 中檢查 LDAPS 狀態**
+ 執行下列命令。如果狀態值傳回 `Enabled`,表示 LDAPS 已成功設定。
```
aws ds describe-ldaps-settings –directory-id your_directory_id
```
如需檢視用戶端 LDAPS 憑證、取消註冊或停用 LDAPS 憑證的詳細資訊,請參閱 [管理用戶端 LDAPS](manage-ldap-client-side.md)。
# 管理用戶端 LDAPS
使用這些命令來管理您的 LDAPS 組態。
您可以使用兩種不同的方法來管理用戶端 LDAPS 設定。您可以使用 AWS 管理主控台 方法或 AWS CLI 方法。
## 檢視憑證詳細資訊
使用下列其中一種方法來查看憑證設為過期的時間。
**方法 1:在 Directory Service (AWS 管理主控台) 中檢視憑證詳細資訊**
1. 在 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)導覽窗格中,**選取目錄**。
1. 選擇您目錄的目錄 ID 連結。
1. 在 **Directory details (目錄詳細資訊)** 頁面上,選擇 **Networking & security (聯網和安全)** 索引標籤。
1. 在 **Client-side LDAPS (用戶端 LDAPS)** 區段中,在 **CA certificates (憑證授權機構憑證)** 下方,將顯示憑證相關資訊。
**方法 2:在 Directory Service (AWS CLI) 中檢視憑證詳細資訊**
+ 執行下列命令。對於憑證 ID,使用 `register-certificate` 或 `list-certificates` 傳回的識別符。
```
aws ds describe-certificate --directory-id your_directory_id --certificate-id your_cert_id
```
## 取消登錄憑證
使用下列其中一種方法來取消登錄憑證。
**注意**
如果只登錄一個憑證,必須先停用 LDAPS,才能取消登錄憑證。
**方法 1:在 Directory Service (AWS 管理主控台) 中取消註冊憑證**
1. 在 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)導覽窗格中,**選取目錄**。
1. 選擇您目錄的目錄 ID 連結。
1. 在 **Directory details (目錄詳細資訊)** 頁面上,選擇 **Networking & security (聯網和安全)** 索引標籤。
1. 在 **Client-side LDAPS (用戶端 LDAPS)** 區段中,選擇 **Actions (動作)**,然後選擇 **Deregister certificate (取消登錄憑證)**。
1. 在 **Deregister a CA certificate (取消登錄憑證授權機構憑證)** 對話方塊中,選擇 **Deregister (取消登錄)**。
**方法 2:在 Directory Service (AWS CLI) 中取消註冊憑證**
+ 執行下列命令。對於憑證 ID,使用 `register-certificate` 或 `list-certificates` 傳回的識別符。
```
aws ds deregister-certificate --directory-id your_directory_id --certificate-id your_cert_id
```
## 停用用戶端 LDAPS
使用以下其中一個方法來停用用戶端 LDAPS。
**方法 1:在 Directory Service (AWS 管理主控台) 中停用用戶端 LDAPS**
1. 在 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)導覽窗格中,**選取目錄**。
1. 選擇您目錄的目錄 ID 連結。
1. 在 **Directory details (目錄詳細資訊)** 頁面上,選擇 **Networking & security (聯網和安全)** 索引標籤。
1. 在 **Client-side LDAPS (用戶端 LDAPS)** 區段中,選擇 **Disable (停用)**。
1. 在 **Disable client-side LDAPS (停用用戶端 LDAPS)** 對話方塊中,選擇 **Disable (停用)**。
**方法 2:在 Directory Service (AWS CLI) 中停用用戶端 LDAPS**
+ 執行下列命令。
```
aws ds disable-ldaps --directory-id your_directory_id --type Client
```
# 在 AD Connector 中啟用 mTLS 身分驗證,以搭配智慧卡使用
您可以將以憑證為基礎的交互式 Transport Layer Security (mTLS) 身分驗證與智慧卡結合使用,透過自我管理的 Active Directory (AD) 和 AD Connector 對使用者進行身分驗證,讓使用者存取 Amazon WorkSpaces。啟用後,使用者在 WorkSpaces 登入畫面上選取智慧卡並輸入 PIN 碼進行身分驗證,而不是使用使用者名稱和密碼。之後,Windows 或 Linux 虛擬桌面便可以使用智慧卡從原生桌面作業系統進行 AD 身分驗證。
**注意**
AD Connector 中的智慧卡身分驗證功能僅在以下 AWS 區域提供,並且僅適用於 WorkSpaces。目前不支援其他 AWS 應用程式。
美國東部 (維吉尼亞北部)
美國西部 (奧勒岡)
亞太地區 (雪梨)
亞太地區 (東京)
歐洲 (愛爾蘭)
AWS GovCloud (美國西部)
AWS GovCloud (美國東部)
您也可以取消註冊和停用憑證。
**Topics**
+ [先決條件](#prereqs-clientauth)
+ [啟用智慧卡身分驗證](#enable-clientauth)
+ [管理智慧卡身分驗證設定](manage-clientauth.md)
## 先決條件
若要使用智慧卡為 Amazon WorkSpaces 用戶端啟用憑證型交互 Transport Layer Security (mTLS) 身分驗證,您需要與自我管理 Active Directory 整合的操作智慧卡基礎設施。如需如何使用 Amazon WorkSpaces 和 Active Directory 設定智慧卡身分驗證的詳細資訊,請參閱 [Amazon WorkSpaces 管理指南](https://docs.aws.amazon.com/workspaces/latest/adminguide/smart-cards.html)。
為 WorkSpaces 啟用智慧卡身分驗證之前,請檢閱下列先決條件:
+ [CA 憑證要求](#ca-cert)
+ [使用者憑證要求](#user-cert)
+ [憑證撤銷檢查流程](#ocsp)
+ [考量事項](#other)
### CA 憑證要求
AD Connector 需要憑證授權機構 (CA) 憑證 (代表使用者憑證的發行者) 進行智慧卡身分驗證。AD Connector 將 CA 憑證與使用者透過其智慧卡提供的憑證進行比對。請注意下列 CA 憑證要求:
+ 若要登錄 CA 憑證,憑證距離過期日期必須在 90 天以上。
+ CA 憑證必須是隱私權增強式郵件 (PEM) 格式。如果從 Active Directory 內部匯出 CA 憑證,選擇 Base64 編碼的 X.509 (.CER) 做為匯出檔案格式。
+ 必須上傳從發行 CA 連結到使用者憑證的所有根 CA 憑證和中間 CA 憑證,智慧卡身分驗證才能成功。
+ 每個 AD Connector 目錄最多可以儲存 100 個 CA 憑證
+ AD Connector 不支援 CA 憑證的 RSASSA–PSS 簽章演算法。
+ 確認憑證傳播服務設定為自動並執行中。
### 使用者憑證要求
以下是使用者憑證的一些需求:
+ 使用者的智慧卡憑證具有使用者 userPrincipalName (UPN) 的主體別名 (SAN)。
+ 使用者的智慧卡憑證具有增強型金鑰用量作為智慧卡登入 (1.3.6.1.4.1.311.20.2.2) 用戶端身分驗證 (1.3.6.1.5.5.7.3.2)。
+ 使用者智慧卡憑證的線上憑證狀態協定 (OCSP) 資訊應該是授權資訊存取中的存取方法=線上憑證狀態協定 (1.3.6.1.5.5.7.48.1)。
如需 AD Connector 和智慧卡身分驗證需求的詳細資訊,請參閱《*Amazon WorkSpaces 管理指南*》中的[需求](https://docs.aws.amazon.com//workspaces/latest/adminguide/smart-cards.html#smart-cards-requirements)。如需故障診斷 Amazon WorkSpaces 問題的說明,例如登入 WorkSpaces、重設密碼或連線至 WorkSpaces,請參閱《Amazon [ WorkSpaces 使用者指南》中的故障診斷 WorkSpaces 用戶端問題](https://docs.aws.amazon.com//workspaces/latest/userguide/client_troubleshooting.html)。 *Amazon WorkSpaces *
### 憑證撤銷檢查流程
為了執行智慧卡身分驗證,AD Connector 必須使用線上憑證狀態協定 (OCSP) 檢查使用者憑證的撤銷狀態。若要執行憑證撤銷檢查,OCSP 回應程式 URL 必須可透過網際網路存取。如果使用 DNS 名稱,OCSP 回應程式 URL 必須使用在[網際網路號碼分配局 (IANA) 根區域資料庫](https://www.iana.org/domains/root/db)中的頂層域。
**注意**
2025 年 10 月 7 日之後建立的目錄需要用於 SmartCard 憑證驗證的 OCSP 伺服器可透過 VPC 的網路組態路由。如果您的 OCSP 伺服器無法透過 VPC 的路由表、安全群組和網路 ACLs 存取,則 SmartCard 身分驗證會在憑證撤銷檢查期間失敗。若要解決此問題,請確保:
網路路由:您的 VPC 路由表允許流量從 AD Connector 目錄執行個體部署所在的子網路到達 OCSP 伺服器。
安全群組:與目錄的網路介面相關聯的安全群組允許傳出流量流向連接埠 80 (HTTP) 上的 OCSP 伺服器。
網路 ACLs:子網路網路 ACLs往返於 OCSP 伺服器的雙向流量。
網路閘道/NAT:如果您的 OCSP 伺服器面向網際網路,請確定您的 VPC 具有適用於目錄子網路的適當網際網路閘道或 NAT 閘道組態。如果您的網路類型是 IPv4,則需要使用 VPC 設定 NAT 和網際網路閘道。
AD Connector 憑證撤銷檢查流程如下:
+ AD Connector 必須檢查使用者憑證中的 Authority Information Access (AIA) 擴充欄位以取得 OCSP 回應程式 URL,然後 AD Connector 使用該 URL 檢查是否已撤銷。
+ 如果 AD Connector 無法解析使用者憑證 AIA 擴充欄位中找到的 URL,或無法在使用者憑證中找到 OCSP 回應程式 URL,則 AD Connector 將使用在根 CA 憑證登錄期間提供的選用 OCSP URL。
如果使用者憑證 AIA 擴充欄位中的 URL 可以解析但沒有回應,則使用者身分驗證失敗。
+ 如果在根 CA 憑證登錄期間提供的 OCSP 回應程式 URL 無法解析、無回應或未提供 OCSP 回應程式 URL,則使用者身分驗證將會失敗。
+ OCSP 伺服器必須符合 [RFC 6960](https://datatracker.ietf.org/doc/html/rfc6960)。此外,對於總數小於或等於 255 個位元組的請求,OCSP 伺服器必須支援使用 GET 方法的請求。
**注意**
AD Connector 要求 OCSP 回應程式 URL 為 **HTTP** URL。
### 考量事項
在 AD Connector 中啟用智慧卡身分驗證之前,請考慮以下事項:
+ AD Connector 使用以憑證為基礎的交互式 Transport Layer Security (交互式 TLS) 身分驗證,透過硬體或軟體智慧卡憑證對 Active Directory 的使用者進行身分驗證。目前僅支援通用門禁卡 (CAC) 和個人身分驗證 (PIV) 卡。其他類型的硬體或軟體智慧卡可能也可以使用,但尚未經過使用 WorkSpaces 串流協定的測試。
+ 在驗證 WorkSpaces 使用者的身分時,智慧卡身分驗證可取代使用者名稱和密碼身分驗證。
如果您在啟用智慧卡身分驗證的 AD Connector 目錄上設定了其他 AWS 應用程式,這些應用程式仍會顯示使用者名稱和密碼輸入畫面。
+ 啟用智慧卡身分驗證會將使用者工作階段長度限制為 Kerberos 服務票證的最大生命週期。您可以使用群組政策設定此設定 (預設為 10 小時)。如需此設定的詳細資訊,請參閱 [Microsoft 文件](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/maximum-lifetime-for-service-ticket)。
+ AD Connector 服務帳戶支援的 Kerberos 加密類型應與每個域控制站支援的 Kerberos 加密類型相符。
## 啟用智慧卡身分驗證
若要在 AD Connector 上為 WorkSpaces 啟用智慧卡身分驗證,首先需要將憑證授權機構 (CA) 憑證匯入 AD Connector。您可以使用 AWS Directory Service 主控台、[API](https://docs.aws.amazon.com/directoryservice/latest/devguide/welcome.html) 或 [CLI](https://docs.aws.amazon.com/cli/latest/reference/ds/index.html) 將 CA 憑證匯入 AD Connector。使用下列步驟匯入 CA 憑證然後啟用智慧卡身分驗證。
**Topics**
+ [啟用 AD Connector 服務帳戶的 Kerberos 限制委派](#step1)
+ [在 AD Connector 中註冊 CA 憑證](#step2)
+ [為支援 AWS 的應用程式和服務啟用智慧卡身分驗證](#step3)
### 啟用 AD Connector 服務帳戶的 Kerberos 限制委派
若要透過 AD Connector 使用智慧卡身分驗證,您必須為自我管理 AD 目錄中的 LDAP 服務的 AD Connector 服務帳戶啟用 **Kerberos 限制委派 (KCD)**。
Kerberos 限制委派是 Windows Server 功能。此功能可讓管理員透過限制應用程式服務可代表使用者採取行動的範圍,來指定和強制執行應用程式信任界限。如需更多詳細資訊,請參閱 [Kerberos 限制委派](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_key_concepts_kerberos.html)。
**注意**
**Kerberos 限制委派 (KCD)** 要求 AD Connector 服務帳戶的使用者名稱部分與相應使用者的 sAMAccountName 相符。sAMAccountName 不可超過 20 個字元。sAMAccountName 是 Microsoft Active Directory 屬性,用作早期版本的 Windows 用戶端和伺服器的登入名稱。
1. 使用 `SetSpn` 指令為自我管理 AD 中的 AD Connector 服務帳戶設定服務主體名稱 (SPN)。這將為服務帳戶啟用委派組態。
SPN 可以是任何服務或名稱組合,但不能與現有 SPN 重複。`-s` 會檢查重複項。
```
setspn -s my/spn service_account
```
1. 在 **AD 使用者和電腦**中,開啟內容 (右鍵) 選單並選擇 AD Connector 服務帳戶,然後選擇**屬性**。
1. 選擇**委派**索引標籤。
1. 選擇**僅信任此使用者對指定服務的委派**和**使用任何身分驗證協定**選項。
1. 選擇**新增**,然後選擇**使用者或電腦**以找到域控制站。
1. 選擇**確定**顯示用於委派的可用服務清單。
1. 選擇 **ldap** 服務類型,然後選擇**確定**。
1. 再次選擇**確定**以儲存組態。
1. 針對 Active Directory 中的其他網域控制站重複此程序。您也可以使用 PowerShell 自動化此流程。
### 在 AD Connector 中註冊 CA 憑證
使用下列方法之一為 AD Connector 目錄登錄 CA 憑證。
**方法 1:將您的 CA 憑證登錄於 AD Connector (AWS 管理主控台)**
1. 在 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)導覽窗格中,**選取目錄**。
1. 選擇您目錄的目錄 ID 連結。
1. 在 **Directory details (目錄詳細資訊)** 頁面上,選擇 **Networking & security (聯網和安全)** 索引標籤。
1. 在**智慧卡身分驗證**區段,選擇**動作**,然後選擇**登錄憑證**。
1. 在**登錄憑證**對話方塊中,選取**選擇檔案**,然後選擇憑證,再選擇**開啟**。您可以選擇透過提供線上憑證狀態協定 (OCSP) 回應程式 URL,來對此憑證執行撤銷檢查。如需有關 OCSP 的詳細資訊,請參閱 [憑證撤銷檢查流程](#ocsp)。
1. 選擇 **Register certificate (登錄憑證)**。當您看到憑證狀態變更為**已註冊** 時,表示登錄程序已成功完成。
**方法 2:將您的 CA 憑證登錄於 AD Connector (AWS CLI)**
+ 執行下列命令。對於憑證資料,請指向您 CA 憑證檔案的位置。若要提供輔助 OCSP 回應程式地址,請使用選用的 `ClientCertAuthSettings` 物件。
```
aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path --type ClientCertAuth --client-cert-auth-settings OCSPUrl=http://your_OCSP_address
```
如果成功,回應會提供憑證 ID。您也可以透過執行以下 CLI 命令來驗證 CA 憑證是否登錄成功:
```
aws ds list-certificates --directory-id your_directory_id
```
如果狀態值傳回 `Registered`,表示您的憑證已成功登錄。
### 為支援 AWS 的應用程式和服務啟用智慧卡身分驗證
使用下列方法之一為 AD Connector 目錄登錄 CA 憑證。
**方法 1:在 AD Connector 中啟用智慧卡身分驗證 (AWS 管理主控台)**
1. 導覽至**目錄詳細資訊**頁面上的**智慧卡身分驗證**區段,然後選擇**啟用**。如果無法使用此選項,請確認已成功登錄有效憑證,然後再試一次。
1. 在**啟用智慧卡身分驗證**對話方塊中,選取**啟用**。
**方法 2:在 AD Connector 中啟用智慧卡身分驗證 (AWS CLI)**
+ 執行下列命令。
```
aws ds enable-client-authentication --directory-id your_directory_id --type SmartCard
```
如果成功,AD Connector 將傳回帶有空白 HTTP 正文的 `HTTP 200` 回應。
如需檢視憑證、取消註冊或停用憑證的詳細資訊,請參閱 [管理智慧卡身分驗證設定](manage-clientauth.md)。
# 管理智慧卡身分驗證設定
您可以使用兩種不同的方法來管理智慧卡設定。您可以使用 AWS 管理主控台 方法或 AWS CLI 方法。
**Topics**
+ [檢視憑證詳細資訊](#describe-a-certificate-clientauth)
+ [取消登錄憑證](#dergister-a-certificate-clientauth)
+ [停用智慧卡身分驗證](#disable-smart-card-clientauth)
## 檢視憑證詳細資訊
使用下列其中一種方法來查看憑證設為過期的時間。
**方法 1:在 Directory Service (AWS 管理主控台) 中檢視憑證詳細資訊**
1. 在 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)導覽窗格中,**選取目錄**。
1. 為您的 AD Connector 目錄選擇目錄 ID 連結。
1. 在 **Directory details (目錄詳細資訊)** 頁面上,選擇 **Networking & security (聯網和安全)** 索引標籤。
1. 在**智慧卡身分驗證**區段中的 **CA 憑證**下,選擇憑證 ID 以顯示相應憑證的詳細資訊。
**方法 2:在 Directory Service (AWS CLI) 中檢視憑證詳細資訊**
+ 執行下列命令。對於憑證 ID,使用 `register-certificate` 或 `list-certificates` 傳回的識別符。
```
aws ds describe-certificate --directory-id your_directory_id --certificate-id your_cert_id
```
## 取消登錄憑證
使用下列其中一種方法來取消登錄憑證。
**注意**
如果只登錄一個憑證,必須先停用智慧卡身分驗證,才能取消登錄憑證。
**方法 1:在 Directory Service (AWS 管理主控台) 中取消註冊憑證**
1. 在 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)導覽窗格中,**選取目錄**。
1. 為您的 AD Connector 目錄選擇目錄 ID 連結。
1. 在 **Directory details (目錄詳細資訊)** 頁面上,選擇 **Networking & security (聯網和安全)** 索引標籤。
1. 在**智慧卡身分驗證**區段的 **CA 憑證**下,選取要取消登錄的憑證,選擇**動作**,然後**取消登錄憑證**。
**重要**
確保您要取消登錄的憑證未處於作用中狀態或目前未用作智慧卡身分驗證的 CA 憑證鏈的一部分。
1. 在 **Deregister a CA certificate (取消登錄憑證授權機構憑證)** 對話方塊中,選擇 **Deregister (取消登錄)**。
**方法 2:在 Directory Service (AWS CLI) 中取消註冊憑證**
+ 執行下列命令。對於憑證 ID,使用 `register-certificate` 或 `list-certificates` 傳回的識別符。
```
aws ds deregister-certificate --directory-id your_directory_id --certificate-id your_cert_id
```
## 停用智慧卡身分驗證
使用下列任一方法停用智慧卡身分驗證。
**方法 1:在 Directory Service (AWS 管理主控台) 中停用智慧卡身分驗證**
1. 在 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)導覽窗格中,**選取目錄**。
1. 為您的 AD Connector 目錄選擇目錄 ID 連結。
1. 在 **Directory details (目錄詳細資訊)** 頁面上,選擇 **Networking & security (聯網和安全)** 索引標籤。
1. 在**智慧卡身分驗證**區段中,選擇**停用**。
1. 在**停用智慧卡身分驗證**對話方塊中,選擇**停用**。
**方法 2:在 Directory Service (AWS CLI) 中停用智慧卡身分驗證**
+ 執行下列命令。
```
aws ds disable-client-authentication --directory-id your_directory_id --type SmartCard
```
# 在 中更新您的 AD Connector 服務帳戶登入資料 AWS 管理主控台
您在 中提供的 AD Connector 登入 Directory Service 資料代表用來存取現有內部部署目錄的服務帳戶。您可以執行下列步驟,在 中修改服務帳戶登入 Directory Service 資料。
**注意**
如果 目錄 AWS IAM Identity Center 已啟用 , Directory Service 則必須將服務主體名稱 (SPN) 從目前的服務帳戶轉移到新的服務帳戶。如果目前的服務帳戶不具刪除 SPN 的許可,或新的服務帳戶無權新增 SPN,系統會提示您輸入具有執行這兩個動作之目錄帳戶許可的登入資料。這些登入資料只會用來轉移 SPN,服務不會存放此資料。
**在 中更新您的 AD Connector 服務帳戶登入資料 Directory Service**
1. 在 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)導覽窗格中的 **Active Directory** 下,選擇**目錄**。
1. 選擇您目錄的目錄 ID 連結。
1. 在**目錄詳細資訊**頁面上,向下捲動至**服務帳戶憑證**區段。
1. 在 **Service account credentials (服務帳戶認證)** 區段中,選擇 **Update (更新)**。
1. 在**更新服務帳戶憑證**對話方塊中,鍵入服務帳戶使用者名稱和密碼。重新鍵入密碼進行確認,然後選擇**更新**。
# 設定適用於 AD 的 AWS 私有 CA Connector
您可以使用 AWS 私有憑證授權單位 AD Connector 整合自我管理 Active Directory 與 ,為加入 AD 網域的使用者、群組和機器發行和管理憑證。 AWS 私有 CA Connector for AD 提供全受管 AWS 私有 CA 做為自我管理企業 CAs 的下拉式選單,而不需要您部署、修補或更新本機代理程式或代理伺服器。
您可以透過 主控台、 AWS 私有 CA Connector for AD 主控台或呼叫 [https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API-CreateTemplate.html](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API-CreateTemplate.html) API 來設定此整合 Directory Service 。若要使用 AWS 私有 CA Connector for Active Directory 主控台,請參閱 [AWS 私有 CA Connector for Active Directory](https://docs.aws.amazon.com/privateca/latest/userguide/connector-for-ad.html)。下列各節說明如何從 Directory Service 主控台設定此整合。
## 先決條件
如需設定說明,請參閱[《 Connector for AD 使用者指南](https://docs.aws.amazon.com/privateca/latest/userguide/connector-for-ad-getting-started-prerequisites.html)》中的設定 AWS 私有 CA Connector for AD。
## 設定 AWS 私有 CA Connector for AD
**為 Active Directory 建立私有 CA 連接器**
1. 登入 AWS 管理主控台 並在 開啟 Directory Service 主控台[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。
1. 在 **Directories** (目錄) 頁面中,選擇目錄 ID。
1. 在**應用程式管理**索引標籤和**AWS 應用程式與服務**區段下,選擇 **AWS 私有 CA Connector for AD**。
1. 在**建立 Active Directory 的私有 CA 憑證**頁面上,完成建立 Active Directory 連接器的私有 CA 的步驟。
如需詳細資訊,請參閱[建立連接器](https://docs.aws.amazon.com/privateca/latest/userguide/create-connector-for-ad.html)。
## 檢視您的 AWS 私有 CA Connector for AD
**檢視私有 CA 連接器詳細資訊**
1. 登入 AWS 管理主控台 並在 開啟 Directory Service 主控台[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。
1. 在 **Directories** (目錄) 頁面中,選擇目錄 ID。
1. 在**應用程式管理**索引標籤和**AWS 應用程式與服務**區段下,檢視您的私有 CA 連接器和相關聯的私有 CA。顯示下列欄位:
1. **AWS 私有 CA 連接器 ID** – AWS 私有 CA 連接器的唯一識別符。選擇它以檢視詳細資訊頁面。
1. **AWS 私有 CA subject** – CA 辨別名稱的相關資訊。選擇它以檢視詳細資訊頁面。
1. **狀態** – AWS 私有 CA 連接器的狀態檢查結果,以及 AWS 私有 CA:
+ **作用中** – 兩個檢查都通過
+ **1/2 檢查失敗** – 一個檢查失敗
+ **失敗** – 兩個檢查都失敗
如需失敗的狀態詳細資訊,請將滑鼠游標暫留在超連結上,以查看哪些檢查失敗。
1. **DC Certificates 註冊狀態** – 網域控制站憑證狀態的狀態檢查:
+ **已啟用** – 已啟用憑證註冊
+ **已停用** – 憑證註冊已停用
1. **建立日期** – AWS 私有 CA 連接器建立的時間。
如需詳細資訊,請參閱[檢視連接器詳細資訊](https://docs.aws.amazon.com/privateca/latest/userguide/view-connector-for-ad.html)。
## 驗證 AD 使用者的憑證發行
完成下列步驟,以確認 AWS 私有 CA 是否正在向您的自我管理 Active Directory 發行憑證:
+ 重新啟動您的內部部署網域控制站。
+ 使用 檢視您的憑證Microsoft Management Console。如需詳細資訊,請參閱 [Microsoft 文件](https://learn.microsoft.com/en-us/dotnet/framework/wcf/feature-details/how-to-view-certificates-with-the-mmc-snap-in)。